Spyware-ul Predator folosește o nouă tehnică zero-click: Cum ești spionat prin reclame online

Predator, spyware-ul dezvoltat de gruparea Intellexa, utilizează un nou mecanism de infectare care permite compromiterea dispozitivelor fără ca utilizatorul să interacționeze cu o reclamă malițioasă.

Noul vector, denumit intern „Aladdin”, funcționează exclusiv prin afișarea unei reclame pe un site sau într-o aplicație mobilă, transformând ecosistemul publicitar într-un instrument de supraveghere avansată, scrie Bleeping Computer.

Detaliile ies la iveală în urma unei investigații comune realizate de Inside Story, Haaretz și WAV Research Collective, bazată pe scurgerile de date cunoscute drept „Intellexa Leaks” și verificată prin analize tehnice efectuate de specialiști ai Amnesty International, Google și Recorded Future.

Reclame obișnuite transformate în vectori de atac

Noul mecanism, utilizat pentru prima dată în 2024 și considerat încă activ, exploatează infrastructura de publicitate mobilă pentru a livra exploituri către ținte selectate cu precizie.

Potrivit documentelor analizate, sistemul permite trimiterea de reclame manipulate către persoane identificate prin IP și alți identificatori, forțând platformele de publicitate să afișeze anunțul infectat pe orice site din rețeaua DSP-ului folosit.

Amnesty International explică faptul că nu este necesar niciun click; simpla afișare a bannerului este suficientă pentru declanșarea lanțului de compromitere, care direcționează victima către serverele de livrare ale exploiturilor controlate de Intellexa.

Investigația arată și structura extinsă de firme-paravan folosite pentru a ascunde infrastructura publicitară compromisă, companii localizate în Irlanda, Germania, Elveția, Grecia, Cipru, Emiratele Arabe Unite și Ungaria. Recorded Future a analizat legăturile dintre persoanele și companiile implicate, identificând o rețea complexă de relații comerciale și tehnice.

Blocarea reclamelor poate reduce riscul, la fel ca opțiunile de navigare care ascund IP-ul, însă documentele arată că Intellexa poate obține date direct de la operatorii telecom locali din țările în care clienții săi desfășoară operațiuni.

Exploatarea zero-day și vectoarele alternative de infectare

Scurgerile confirmă existența unui alt sistem de livrare numit „Triton”, care vizează dispozitivele echipate cu chipset-uri Samsung Exynos. Acesta utilizează vulnerabilități din banda de bază și chiar poate forța trecerea la conexiuni 2G, pregătind terenul pentru compromitere.

Amnesty notează că nu este clar dacă Triton este încă utilizat și menționează existența altor două mecanisme, „Thor” și „Oberon”, ce ar implica tehnici bazate pe comunicații radio sau acces fizic.

Google subliniază că Intellexa se numără printre cei mai prolifici furnizori comerciali de spyware în materie de exploatări zero-day, fiind responsabilă pentru 15 dintre cele 70 de cazuri documentate de echipa sa TAG din 2021 până în prezent.

Compania dezvoltă atât propriile exploituri, cât și lanțuri de exploatare achiziționate de la terți, pentru a acoperi o gamă largă de ținte.

În ciuda sancțiunilor și investigațiilor în desfășurare din Grecia, activitatea Intellexa continuă, iar Predator devine tot mai dificil de detectat, avertizează Amnesty International.

Specialiștii recomandă utilizatorilor activarea unor opțiuni suplimentare de protecție, precum Advanced Protection pe Android sau Lockdown Mode pe iOS, pentru a reduce riscul de infectare.